多选题DHCP Snooping是一种DHCP的安全特性，关于DHCP Snooping的说法，以下正确的是（）。ADHCP Snooping绑定表分为动态绑定表和静态绑定表BDHCP Snooping区分信任端口和非信任端口，对非信任端口，不处理DHCP Reply报文C静态绑定表在报文入端口手工输入，也可以手工设置表项老化时间D在二层上应用DHCP Snooping时，不配置Option82功能也可以获得绑定表所需的接口信息

第1题：

第2题：

ARP-CHECK功能检查ARP报文合法性的来源有（）

• A、IP+MAC的端口安全
• B、DHCP Snooping+IP Sourceguard
• C、dot1x授权
• D、DHCP Snooping表

第3题：

Which of the following types of attacks does DHCP snooping prevent？（Choose all that apply.）（）

• A、Attacker sends multiple DHCP requests flooding DHCP server
• B、Attacker connects rogue server initiating DHCP requests
• C、Attacker connects rogue server replying to DHCP requests
• D、Attacker sends DHCP jam signal causing DHCP server to crash
• E、Attacker sends gratuitous ARP replies， thereby jamming the DHCP server
• F、Attacker sends unsolicited DHCP replies， thereby jamming the DHCP server

第4题：

基站盲启的正确流程是（）

• A、DHCP Discover-DHCP Offer-DHCP Request-DHCP Ack
• B、DHCP Request-DHCP Ack-DHCP Discover-DHCP Offer
• C、DHCP Request-DHCP Offer-DHCP Discover-DHCP Ack
• D、DHCP Discover-DHCP Ack-DHCP Request-DHCP Offer

第5题：

As a network administrator, you issue the interface auto qos voip cisco-phone command on a port in an edge network. It is possible for a Cisco Catalyst switch to check if a Cisco IP Phone is directly attached to that port by:（）

• A、using DHCP snooping
• B、snooping the incoming 802.1Q VLAN tag
• C、using CDP
• D、snooping the CoS marking on the incoming frames

第6题：

DHCP snooping on Cisco Nexus 1000V Series Switches acts like a firewall between untrusted hosts and trusted DHCP servers by doing which of these？ （）

• A、 validates DHCP messages received from untrusted sources and filters out invalid response messages from DHCP servers
• B、 intercepts all ARP requests and responses on untrusted ports
• C、 builds and maintains the DHCP snooping binding database， which contains information about untrusted hosts with leased IP addresses
• D、 uses the DHCP snooping binding database to validate subsequent requests from untrusted hosts
• E、 limits IP traffic on an interface to only those sources that have an IP-MAC address binding table entry or static IP source entry

第7题：

下面哪项不是防范ARP攻击的有效方法（）。

• A、IP-MAC静态绑定
• B、使用类似port security的功能
• C、加强用户权限控制
• D、DHCP Snooping+DAI技术

第8题：

第9题：

第10题：

第11题：

第12题：

第13题：

阅读以下说明，回答问题1～3，将解答填入答题纸的对应栏内。
某公司的网络拓扑结构如图3-1所示。其中的DHCP server安装的Linux系统。



【问题2】（6分）
若内部网络PC1上用户私自安装了dhcp服务器，则可能导致内网的用户无法获得正确的地址。要解决这个问题，可以在交换机上开启 （6） 功能，通过这种方式将交换机的（7）即接口设置为（8）接口。
（6）备选答案：
A、dhcp snooping B、dhcp relay C、dhcp discover D、dhcp unicast
（8）备选答案：
A、trust B、untrust C、dmz D、snooping

第14题：

Which is the result of enabling IP Source Guard on an untrusted switch port that does not have DHCP snooping enabled？（）

• A、DHCP requests will be switched in the software， which may result in lengthy response times.
• B、The switch will run out of ACL hardware resources.
• C、All DHCP requests will pass through the switch untested.
• D、The DHCP server reply will be dropped and the client will not be able to obtain an IP address.

第15题：

The Company is concerned about Layer 2 security threats.  Which statement is true about these  threats？ （）

• A、 MAC spoofing attacks allow an attacking device to receive frames intended for a different  network host.
• B、 Port scanners are the most effective defense against dynamic ARP inspection.
• C、 MAC spoofing, in conjunction with ARP snooping, is the most effective counter-measure against reconnaissance attacks that use dynamic ARP inspection (DAI) to determine vulnerable  attack points.
• D、 Dynamic ARP inspection in conjunction with ARP spoofing can be used to counter DHCP  snooping attacks.
• E、 DHCP snooping sends unauthorized replies to DHCP queries.
• F、 ARP spoofing can be used to redirect traffic to counter dynamic ARP inspection.
• G、 None of the other alternatives apply.

第16题：

An attacker is launching a DoS attack on the Company network using a hacking tool designed to  exhaust the IP address space available from the DHCP servers for a period of time.  Which  procedure would best defend against this type of attack？ （）

• A、 Configure only trusted interfaces with root guard.
• B、 Implement private VLANs （PVLANs） to carry only user traffic.
• C、 Implement private VLANs （PVLANs） to carry only DHCP traffic.
• D、 Configure only untrusted interfaces with root guard.
• E、 Configure DHCP spoofing on all ports that connect untrusted clients.
• F、 Configure DHCP snooping only on ports that connect trusted DHCP servers.
• G、 None of the other alternatives apply

第17题：

Which three statements about the DHCP snooping feature on Cisco Nexus switches are true？ （）

• A、 DHCP snooping commands are not available until the feature is enabled with the feature dhcp- snooping command.
• B、 When you enable the DHCP snooping feature， the switch begins building and maintaining the DHCP snooping binding database.
• C、 The switch will not validate DHCP messages received or use the DHCP snooping binding database to validate subsequent requests from untrusted hosts until DHCP snooping is enabled globally and for each specific VLAN.
• D、 Globally disabling DHCP snooping removes all DHCP snooping configuration on the switch.
• E、 Globally disabling DHCP snooping does not remove any DHCP snooping configuration or the configuration of other features that are dependent upon the DHCP snooping feature.

第18题：

DHCP监听（DHCPSnooping）是一种DHCP安全特性，可以有效防范DHCPSnooping攻击，以下哪条不是该安全特性的描述（）。

• A、比较DHCP请求报文的（报文头里的）源MAC地址和（报文内用里的）DHCP客户机的硬件地址（即CHADDR字段）是否一致
• B、将交换机端口划分为信任端口和非信任端口两类
• C、限制端口被允许访问的MAC地址的最大条目
• D、对端口的DHCP报文进行限速

第19题：

第20题：

第21题：

第22题：

第23题：

第24题：